Kategorie: Aufsichtsbehördliche Maßnahmen

Datenschutzrechtliche Verantwortung von Apotheken bei Kassenbons

17. Januar 2020

Seit dem 1. Januar gilt die Bonpflicht in Deutschland, das heißt auch für Apotheken, dass sie für ihre Kunden nach dem Erwerb von Medikamenten zwingend ein Kassenbon erstellen und mitgeben müssen.

Problematisch bei Apotheken im Gegensatz zu Bäckereien und Supermärkten ist, dass ihre Kassenbons personenbezogene Daten, wie den Namen, das Geburtsdatum, die Anschrift sowie das erworbene Produkt, enthalten. Es handelt sich hier um sensible Gesundheitsdaten, die einen besonderen Schutz genießen. Damit könnte es zu einem Problem werden, wenn die Kunden ihre Kassenbons vergessen oder verlieren. Die Frage ist, wie weit die datenschutzrechtliche Verantwortung von Apotheken in dieser Hinsicht geht.

Die Bundesvereinigung Deutscher Apothekerverbände e. V. wies darauf hin, dass in der Apotheke bewusst verbliebene personalisierte Bons von der Apotheke datenschutzkonform zu vernichten, also möglichst zu schreddern, sind.

Die Apothekenkammer Berlin erklärt zudem: „Verliert der Kunde einen personalisierten Kassenbon in der Apotheke oder lässt er den Bon bewusst oder versehentlich in der Apotheke liegen, verbleiben diese sensiblen Daten im Hoheitsbereich der Apotheke als datenschutzrechtlich verantwortliche Stelle. Liegt in der Offizin ein solcher personalisierter Bon und wird dies moniert – beispielsweise durch eine Beschwerde bei der zuständigen Berliner Landesdatenschutzbeauftragten –, trifft den Apothekeninhaber oder die Apothekeninhaberin die Beweislast, dass ihn oder sie daran kein Verschulden trifft.“

Die datenschutzrechtliche Verantwortung der Apotheke endet laut Kammer-Info, wenn der Kunde die Apotheke mit dem Bon verlassen hat. Dann sei es Angelegenheit des Kunden, wie er mit dem Bon umgeht: ob er ihn verwahrt, vernichtet oder ob er ihn einfach wegwirft.

Empfehlenswert ist es, überhaupt keine personenbezogene Daten auf die Kassenbons mehr zu drucken.

Geldbuße gegen Krankenhaus in Rheinland-Pfalz

12. Dezember 2019

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) verhängte gegen ein Krankenhaus ein Bußgeld in Höhe von 105.000 Euro. Grund dafür sind mehrere Verstöße gegen die Datenschutz-Grundverordnung im Zusammenhang mit einer Patientenverwechslung bei der Aufnahme des Patienten.

Dies führte zu falschen Rechnungsstellungen und offenbarte strukturelle technische und organisatorische Defizite des Krankenhauses beim Patientenmanagement.

Der Landesbeauftragte, Prof. Dr. Kugelmann, betont: „Vorrangiges Ziel der Abhilfe- und Sanktionsmaßnahmen ist es, bestehende Defizite abzustellen und den Datenschutz zu verbessern. Geldbußen sind hierbei ein Instrument unter mehreren. Neben ihrer Sanktionswirkung enthalten sie immer auch ein präventives Element, indem deutlich wird, dass Missständen konsequent nachgegangen wird. Mir kommt es darauf an, dass mit Blick auf die besondere Sensibilität der Daten beim Gesundheitsdatenschutz substanzielle Fortschritte erzielt werden. Daher hoffe ich, dass die Geldbuße auch als Signal gewertet wird, dass die Datenschutzaufsichtsbehörden auf dem Feld des Umgangs mit Daten im Gesundheitswesen besondere Wachsamkeit an den Tag legen.“

Bußgeld für 1&1: Knapp 10 Millionen Euro Strafe für DSGVO-Verstoß

10. Dezember 2019

Gegen die Telekommunikationsfirma 1&1 Telecom GmbH hat der Bundesdatenschutzbeauftragte Ulrich Kelber ein Bußgeld in Höhe von 9,55 Millionen Euro verhängt.

Als Grund nannte Kelber das Fehlen von „hinreichenden technisch-organisatorischen Maßnahmen“ (TOMs) zum Schutz von Kundendaten. Die zum Konzernverbund gehörenden Mail-Anbieter Web.de und GMX sind davon jedoch nicht betroffen.

Die Aufsichtsbehörde kritisierte das unzureichende Authentifizierungsverfahren der 1&1 Telecom GmbH bei telefonischen Anfragen über die Kundenhotline. Die Angabe von Namen und Geburtsdatum hätten ausgereicht, um weitreichende personenbezogene Kundendaten zu erhalten. Dies stelle einen Verstoß gegen Artikel 32 DSGVO dar, da personenbezogene Daten nicht systematisch geschützt wurden und ein hohes Risiko für den gesamten Kundenbestand entstanden sei.

Das Unternehmen reagierte umgehend indem es den Authentifizierungsprozess durch die Abfrage zusätzlicher Angaben stärker absicherte. Darüber hinaus bemühe man sich ein neues, technisch und datenschutzrechtlich deutlich verbessertes Authentifizierungsverfahren einzuführen.

Aufgrund dieses kooperativen Verhaltens der 1&1 Telecom GmbH bewege sich die Strafe noch im unteren Rahmen des Möglichen.

Gleichzeitig verhängte die Aufsichtsbehörde gegen einen weiteren Telekommunikationsanbieter, namentlich die Firma Rapidata, ein Bußgeld in Höhe von 10.000 Euro wegen eines Verstoßes gegen Artikel 37 DSGVO.

Die 1&1 Telecom GmbH hat inzwischen angekündigt, gegen den absolut unverhältnismäßigen“ Bußgeldbescheid klagen zu wollen. Es habe sich um einen Einzelfall aus dem Jahr 2018 gehandelt.

Vermehrte Datenpannen mit sensiblen Daten

3. Dezember 2019

Bei einer Abfrage des NDR bei den Datenschutzbehörden der Länder stellte sich heraus, dass sensible Daten von Patientinnen und Patienten in großer Zahl an falsche Adressen verschickt werden. Es wurden 850 Datenpannen durch Fehlversendungen von Patiententendaten gemeldet, wobei sechs Bundesländer keine Angaben machten.

Die Pannen kommen laut dem Bericht des NDR in allen Gesundheitsbereichen vor, sei es Kliniken oder Abrechnungsstellen. Ursächlich ist in der Regel menschliches Versagen durch falsche Adressierung, Kuvertierung, Verwechslung von Patienten und Ärzten oder Tippfehler.

Eine besonders auffällige Häufung der Datenpannen zeigte sich in einem Krankenhaus in Hamburg. So hatte die Asklepios Klinik Altona seit 2013 insgesamt elf Briefe mit vertraulichen Patientendaten fälschlich an eine Hamburger Psychotherapeutin verschickt, die mit den Patienten nichts zu tun hatte. Es drohen hohe Bußgelder für solche Datenpannen.

Thüringer Datenschutzaufsichtsbehörde veranlasst Hausdurchsuchung nach potentiellem Verstoß gegen die DSGVO

18. November 2019

Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) hat die polizeiliche Durchsuchung einer Wohnung veranlasst. Den Beschluss der Hausdurchsuchung stellte das Amtsgericht Erfurt aus.

Anlass hierfür war eine in der Nachbarschaft herumfliegende Drohne. Ein Nachbar des Drohnenbesitzers hatte sich scheinbar beschwert, dass der Pilot das Fluggerät mit einem Videomonitor steuere. Da die Drohne auch über andere Gärten fliege und sie dabei in die Nähe von Schlafzimmerfenstern komme, sei mithin eine massive Beeinträchtigung der Rechte und Freiheiten der Nachbarn wahrscheinlich.

In der Wohnung des Drohnenbesitzers hat man Datenträger sichergestellt. Diese würden nun ausgewertet.

Kategorien: Allgemein · Aufsichtsbehördliche Maßnahmen · DSGVO
Schlagwörter:

LDI Berlin verhängt Bußgeld in Höhe von 14,5 Millionen Euro gegen Wohnungsgesellschaft

5. November 2019

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat am 30.10.2019 den deutschlandweit bisher höchsten Bußgeldbescheid in Höhe von 14,5 Millionen Euro gegen die Deutsche Wohnen SE erlassen. Der Verstoß gegen die DSGVO bestand in der Verwendung eines rechtswidrigen Archivsystems. Dieses verhinderte das Entfernen von nicht mehr erforderlichen personenbezogenen Daten von Mieterinnen und Mietern. Dadurch wurden die personenbezogenen Daten ohne Überprüfung der Rechtmäßigkeit der Verarbeitung fortwährend gespeichert. Obwohl der Zweck zur Datenerhebung bereits entfallen war, konnten die Daten zu persönlichen und finanziellen Verhältnissen der Betroffenen noch jahrelang eingesehen werden. Nachdem die Aufsichtsbehörde bereits im Juni 2017 auf die Missstände hingewiesen hatte, waren die rechtswidrigen Speichermethoden bei erneuter Kontrolle im März 2019 noch nicht beseitigt. Es konnte weder eine Bereinigung des Archivs nachgewiesen, noch Rechtsgründe für die weitere Speicherung der Daten vorgebracht werden.

Die Aufsichtsbehörde stützt ihren Bußgelderlass auf einen Verstoß gegen Art. 25 I und Art. 5 DSGVO im Zeitraum von März 2018 bis März 2019. Der gesetzliche Bußgeldrahmen, bemessen an dem Jahresumsatz der Deutsche Wohnen SE von über einer Milliarde Euro, lag bei 28 Millionen Euro. Zur Bestimmung des Bußgeldbetrages wurde der Verantwortlichen das bewusste Anlegen des Archivsystems und der lange Zeitraum des Verstoßes zulasten gelegt. Positiv wurden die Mitwirkungsbereitschaft gegenüber der Aufsichtsbehörde und die Vorbereitungsmaßnahmen zur Verbesserung des Systems berücksichtigt. Zusätzlich konnte kein missbräuchlicher Zugriff auf die personenbezogenen Daten nachgewiesen werden. Aus einer Gesamtabwägung ergab sich der Mittelwert von 14,5 Millionen Euro Bußgeld. Der Bußgeldbescheid ist noch nicht rechtskräftig.

Bundesrat stimmt Anpassungen an DSGVO beim 2. DSAnpUG EU zu

9. Oktober 2019

Ende Juni 2019 hat der Bundestag zahlreiche Anpassungen nationaler Vorschriften an die seit Mai 2018 geltende Datenschutz-Grundverordnung (DSGVO) verabschiedet. Der Bundesrat hat diesen Anpassungen am 20.09.2019 nun zugestimmt.

Das aus 150 Artikel bestehende „Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz EU“ wird nun zur Unterzeichnung dem Bundespräsidenten weitergeleitet. Insgesamt greift es in 154 Fachgesetze ein und regelt den sogenannten bereichsspezifischen Datenschutz. Es liegen viele Anpassungen zu Begriffsbestimmungen, Verweisungen, Rechtsgrundlagen für die Datenverarbeitung und Regelungen zu den Betroffenenrechte vor.

Vor allem werden kleine Betriebe und ehrenamtliche Vereine insofern entlastet, dass die Pflicht einen betrieblichen Datenschutzbeauftragten zu bennenen künftig ab einer Personenzahl von 20 greift. Bislang musste nach § 38 BDSG ein Datenschutzbeauftragter eingesetzt werden, wenn sich „in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigten“. Der Bundesdatenschutzbeauftragte Ulrich Kelber weist jedoch darauf hin, dass es kleinen Unternehmen schwerfallen wird, den datenschutzrechtlichen Anforderungen ohne einen juristisch und technisch versierten Datenschutzbeauftragten gerecht zu werden.

Bußgeld gegen Delivery Hero

19. September 2019

Das Unternehmen Delivery Hero Germany GmbH hat ausweislich einer Pressemitteilung der Berliner Datenschutzbeauftragten gegen den Grundsatz der Speicherbegrenzung nach Maßgabe des Art. 5 Abs. 1 lit. e) Datenschutzgrundverordnung (DSGVO) verstoßen. Hierfür sei ein Bußgeld in Höhe von 195.407 Euro verhängt worden.

Konkret hätte die Delivery Hero Germany GmbH – eine ehemalige Tochter der Delivery Hero SE – in zehn Fällen Konten ehemaliger Kundinnen und Kunden nicht gelöscht, obwohl die Betroffenen jahrelang nicht mehr auf der Lieferdienst-Plattform des Unternehmens aktiv gewesen seien.

Überdies hätten sich (hier beispielsweise aufgeführt) acht ehemalige Kunden über unerwünschte Werbe-E-Mails des Unternehmens beschwert. In einem Fall hätte ein Geschädigter trotz ausdrücklichem Widerspruch der Nutzung seiner Daten für Werbezwecke weitere 15 Werbe-E-Mails von dem Lieferdienst erhalten. Dies entspricht insoweit einem Verstoß gegen den Grundsatz der Rechtmäßigkeit der Datenverarbeitung (Art. 5 Abs. 1 lit. a) DSGVO).

Der mittlerweile neue Eigentümer des Unternehmens, die Takeway.com hat die Bußgeldbescheide akzeptiert und keine Rechtsmittel eingelegt.

Kategorien: Allgemein · Aufsichtsbehördliche Maßnahmen
Schlagwörter:

Datenpanne bei Handwerksunternehmen: Bewerbungsmappen in der Gelben Tonne

14. August 2019

Anwohner fanden in Neukirchen-Vluyn sechs Bewerbungen im Recyclingmüll. Wie jede Bewerbungsmappe sind sie gefüllt mit Fotos und dem kompletten Lebenslauf, dessen Stationen durch Zeugnisse belegt werden. Experten zu folge ist ein Identitätsdiebstahl anhand solcher Daten durchaus möglich. Die Anwohner sandten die Mappen dem Landesbeauftragten für Datenschutz in NRW zu.

Datenschutzrechtlich sind Unterlagen der erfolglosen Bewerber zurückzusenden, zu vernichten und/oder zu löschen. Da der ursprüngliche Zweck der Datenverarbeitung, die Auswahl eines geeigneten Bewerbers, nun weggefallen ist, hat die Löschung der Daten bzw. Vernichtung oder Rücksendung der Unterlagen grundsätzlich unverzüglich nach Abschluss des Bewerberverfahrens (also Einstellung des neuen Mitarbeiters) zu erfolgen. Etwas anderes gilt nur, sofern eine gesetzliche Grundlage, die Einwilligung des Bewerbers oder ein berechtigtes Interesse für eine weitere Aufbewahrung oder Speicherung der Unterlage vorliegt.

Die papiergebundenen Unterlagen sind, soweit sie nicht an den Bewerber zurück gesendet werden, mit Hilfe eines Aktenvernichters entsprechend der Sicherheitsstufe P4 der DIN-Norm 66399 zu vernichten. Das bedeutet, dass die Unterlagen mittels eines Papier-Schredders mit Partikelschnitt von max. 160mm² mit einer Streifenbreite von max. 6mm zu zerkleinern sind.

Dieser Pflicht ist das Handwerksunternehmen in Vluyn nicht nachgekommen. Es bleibt abzuwarten, welche Konsequenzen darauf folgen.

BfDi Prof. Ulrich Kelber möchte „Alexa“ und „Siri“ überprüfen

1. August 2019

Der Bundesbeauftragte für Datenschutz und Informationsfreiheit, Herr Prof. Ulrich Kelber möchte künftig die Sprachassistenten „Alexa“ und „Siri“ überprüfen. Zumindest geht dies aus Medienberichten sowie einer Mitteilung des Bundestages hervor. Er betonte, dass sich mit den in Rede stehenden Sprachassistenten beschäftigt und deren datenschutzrechtliche Konformität auf Grundlage der Datenschutzgrundverordnung geprüft werden müsse.

Darüber hinaus hat der Hessische Landesdatenschutzbeauftragte, Herr Prof. Ronellenfitsch die Nutzung von Microsoft Office 365 an Schulen verboten. Dies sind nur zwei Beispiele dafür, dass die Aufsichtsbehörden mittlerweile langsam die Überforderung des ersten Jahres nach Inkrafttreten der DSGVO überwinden und zum täglichen Geschäft übergehen.

Ob dies tatsächlich der Fall ist und wie die Meinung der Aufsichtsbehörden bezüglich der Umsetzung der DSGVO im Allgemeinen aussieht, können Sie beim datenschutzticker.live, am 30.10.2019 in der Wolkenburg in Köln erfahren. Im Rahmen des datenschutzticker.live werden unter anderem sowohl Herr Prof. Kelber als auch Herr Prof. Ronellenfitsch und der Landesdatenschutzbeauftragte für Sachsen-Anhalt, Herr Dr. von Bose über aktuelle Themen referieren.

Hierfür müssen Sie sich lediglich verbindlich anmelden. Die Veranstaltung ist kostenlos.

1 2 3 20